Navigation Icon
Grosskonzerne wie Microsoft sind betroffen, aber auch User im Home-Office.
Bild: keystone

«Warnstufe Rot» für das ganze Internet – so gross ist die Bedrohung durch «Log4j» wirklich

Die Cybersecurity-Fachleute des Bundes haben die Betreiber kritischer Infrastrukturen gewarnt. Doch auch Privat-User sind direkt oder indirekt betroffen.
Publiziert: 13.12.2021, 09:43Aktualisiert: 13.12.2021, 13:30
Daniel Schurter

Die Meldung erreichte viele Menschen kurz vor dem Wochenende auf dem falschen Fuss – oder sie bekamen gar nichts mit von der drohenden Gefahr. Die Rede ist von einer verhängnisvollen Schwachstelle in einer weit verbreiteten Java-Bibliothek (dazu unten mehr). Die Schwachstelle (CVE-2021-44228) wird umgangssprachlich Log4Shell genannt.

Das war am Freitagabend. Und natürlich half es nicht, dass die Nachrichtenagenturen das Thema Log4j in der Folge stiefmütterlich behandelten. Dies auch nachdem das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) am Samstag die höchste Warnstufe (Rot) ausrief.

Dieser Beitrag dreht sich um die wichtigsten Fragen und Antworten aus Sicht der normalen Internet-Nutzerinnen und -Nutzer. Denn eines ist klar: Server-Administratoren und IT-Sicherheitsexperten wurden durch die sich überschlagenden Ereignisse um Freizeit und Schlaf gebracht.

Wie schlimm ist es?

Noch schlimmer als zunächst befürchtet.

Die Fachleute vom deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die am Freitag bekannt gewordene Zero-Day-Lücke in der weit verbreiteten Java-Bibliothek Log4j nachträglich hochgestuft. Seit Samstag gelte nun die höchste Warnstufe Rot, schreibt heise.de.

Der Grund: Man habe beobachtet, «dass die Schwachstelle ohne explizites Nachladen von Schadcode ausgenutzt werden könne, womit ein Grossteil der empfohlenen Gegenmassnahmen ins Leere läuft».

screenshot: twitter

Von der Log4j-Sicherheitslücke betroffen sind nicht nur Server und Netzwerkkomponenten: Java-Programmcode sei auch in Zugangssystemen wie digitalen Schliesssystemen und in der Automatisierungstechnik sowie Smart Home weit verbreitet: Ob auch diese Systeme durch den Zero-Day-Exploit kompromittierbar sind, weiss laut heise.de noch niemand.

«Sicherheitsspezialisten auf der ganzen Welt arbeiten trotz Wochenende fieberhaft daran, verwundbare Systeme zu identifizieren und Lücken zu stopfen. Sie liefern sich einen Wettlauf mit den Angreifern, die derzeit ebenfalls Überstunden schieben.»
quelle: heise.de

Gefährdet seien nicht nur Grosskonzerne wie Google, die bei GitHub auf dieser Liste aufgeführt sind: Log4j stecke auch in vielen Netzwerk- und Systemkomponenten, die in kleinen Unternehmen, aber auch von Privatpersonen und Mitarbeitern im Home-Office eingesetzt würden.

Wenn kriminelle Angreifer eigene Schadsoftware einschleusen können, droht Datenklau oder Schlimmeres.

Das Problem erinnere an ShellShock, konstatiert heise.de: 2014 waren viele Server durch eine Sicherheitslücke im Kommandozeilen-Interpreter Bash kompromittierbar.

Wie reagiert die Schweiz?

Die Cybersecurity-Experten vom staatlichen Computer Emergency Response Team (GovCERT) informierten am Sonntag in einem Blog-Beitrag über das Vorgehen:

«Am Samstagabend haben wir damit begonnen, potenziell betroffene Organisationen in der Schweiz über verwundbare Log4j-Instanzen zu informieren, die über das Internet erreichbar sind. Solche Meldungen wurden auch an mehrere nationale Kritische Infrastrukturen (KRITIS) gesendet.»

Zu den sogenannten «Kritischen Infrastrukturen» gehören die Teilsektoren Stromversorgung, Erdölversorgung, Erdgasversorgung sowie Fern- und Prozesswärme.

Obwohl die Schwachstelle bei gezielten Angriffen auf nationale kritische Infrastrukturen ausgenutzt werden könne, habe das GovCERT diesbezüglich noch keine Berichte erhalten.

«Die von uns bisher beobachteten Ausbeutungsversuche dienten dem Einsatz von Massen-Malware wie Mirai 2 , Kinsing 3 und Tsunami 3 (aka Muhstik ). Der primäre Einsatz dieser Botnets ist der Start von DDoS-Angriffen (Mirai, Tsunami) oder das Mining von Kryptowährungen (Kinsing).»
quelle: govcert.ch

Was können normale Userinnen und User tun?

Sofern nicht schon getan, sollte man unbedingt Sicherheitskopien (Backups) aller wertvollen Daten erstellen.

Abgesehen davon kann man nur hoffen, dass die IT-Verantwortlichen der betroffenen Organisationen ihre Computer-Systeme schnell absichern. Dies muss je nach Konstellation auch durch zusätzliche Updates passieren. Aus diesem Grund sollte man die Benachrichtigungen im Auge behalten und Software-Aktualisierungen umgehend installieren.

screenshot: twitter

Zum Beispiel habe der Netzwerk-Ausrüster Ubiquiti gemäss Bericht von heise.de eingeräumt, dass sein Konfigurations- und Verwaltungs-Programm UniFi Network Application verwundbar ist und ein Update bereitgestellt.

Was genau ist das Problem mit diesem «Log4j»?

Die Abkürzung «log4j» steht für «Logging for Java». Dabei handelt es sich um eine Server-Software, die Anwendungen in der Programmiersprache Java beim Betrieb hilft. Das Problem: Wegen der nun öffentlich bekannten Schwachstelle könnten Angreifer Schadsoftware auf fremden Systemen laufen lassen und sie unter Umständen sogar komplett kapern.

Log4j dient dazu, die Aktivitäten eines Programms zu protokollieren, zu loggen. Ein solches Log dient Softwareentwicklern zum Beispiel dazu, kontrollieren zu können, ob das Programm ordnungsgemäß läuft oder um im Nachhinein Probleme nachvollziehen zu können. Ins Protokoll können auch Eingaben des Benutzers geschrieben werden. Hier liegt das Problem der Log4j-Sicherheitslücke.
quell: zeit.de

Weil die Java-Bibliothek in extrem vielen Java-Anwendungen vorkommt, ist noch nicht absehbar, wie viele Internetdienste angreifbar sind. Sicher ist: Betroffen sind auch namhafte Firmen wie Apple, Google oder Microsoft.

Die Cybersecurity-Spezialisten von GovCERT.ch haben eine Grafik veröffentlicht, die bei Twitter gelobt wird. Sie zeigt auf, wie Angreifer die Schwachstelle in der weit verbreiteten Java-Bibliothek für Online-Attacken ausnutzen und was Systemadministratoren dagegen tun können.

grafik: govcert.ch

Noch Fragen?

Schreib uns via Kommentarfunktion!

Insider-Informationen
watson-Redaktor Daniel Schurter ist weiterhin über die verschlüsselte Messenger-App Threema auch anonym zu erreichen. Seine «Threema ID» lautet: ACYMFHZX. Oder du schreibst an daniel.schurter [at] protonmail.com. Wer sich beim Schweizer Secure-Mail-Anbieter (kostenlos) registriert, kann ohne Aufwand verschlüsselte E-Mails verschicken.

Quellen

Der Lösegeld-Trojaner «WannaCry» geht als bislang grösste Ransomware-Attacke in die IT-Annalen ein. Früher war aber nicht alles besser, im Gegenteil! Wir zeigen dir eine Auswahl der schlimmsten Malware-Attacken ...
Diese zwei hier sind für den bislang gefährlichsten Einsatz von «Malware» verantwortlich ... AP/AP / Manuel Balce Ceneta
Stuxnet (2010 entdeckt): Der Computerwurm ist ein absoluter Spezialfall – eine von staatlichen Hackern entwickelte Cyberwaffe, die sich gegen das iranische Atomprogramm richtete. EPA/IRAN'S PRESIDENCY OFFICE / IRAN'S PRESIDENCY OFFICE / HANDOUT
Der Wurm nutzte gleich vier bis dato unbekannte Windows-Sicherheitslücken aus, so genannte Zero Days, um sich automatisch in Richtung einer Atomanlage in der Wüste auszubreiten und Zentrifugen zur Urananreicherung zu zerstören. AP/Magnolia Pictures
Jerusalem-Virus (1987): Wie der Serienmörder Jason in den «Freitag der 13.»-Horrorfilmen war dieser Computervirus darauf ausgelegt, jeweils am (angeblichen) Unglücksdatum zuzuschlagen. Er nistete sich unbemerkt auf dem Computer des Opfers ein, aktivierte sich selbst und richtete auf der Festplatte ein Massaker an. Shutterstock
Michelangelo (1992): Der in Neuseeland entdeckte Virus war eine Variante von Stoned, aber deutlich bösartiger. Der Schädling schlief die längste Zeit, versuchte aber jeweils am 6. März (dem Geburtstag des berühmten Renaissance-Künstlers) wichtige Teile der Festplatte zu zerstören. Da sich der für MS-DOS-Rechner programmierte Schädling im Startbereich (Bootsektor) einnistete, waren auch andere Betriebssysteme betroffen. EPA/EPA / CHRISTIAN BRUNA
Tschernobyl-Virus (1998): Zum ersten Mal wurde das CIH-Virus im Juni 1998 in Taiwan gesichtet, knapp ein Jahr später war es weltberühmt. Es schlug jeweils am 26. April zu, dem Geburtstag des Autors sowie dem Jahrestag der Reaktorkatastrophe von Tschernobyl. Der aus Taiwan stammende Virus richtete auf infizierten Computern verheerende Schäden an und galt bei vielen als gefährlichste Malware überhaupt. AP / ODED BALILTY
Melissa (1999): Am 26. März 1999 legte die Mischung aus Makro-Virus für Microsoft Word und E-Mail-Wurm los. Sobald die Datei geöffnet wurde, war der PC infiziert und der Schädling verschickte sich an die 50 ersten Einträge im Outlook-Adressbuch. Der Schaden betrugt 1,1 Milliarden US-Dollar, wobei die USA stärker betroffen waren als Europa. EPA / JAGADEESH NV
ILOVEYOU (2000): Auch Loveletter oder I-love-you-Virus genannt, gehört der Windows-Schädling zu den Mail-Würmern. Er verbreitete sich ab dem 4. Mai 2000 explosionsartig und weltweit. Der angerichtete Schaden betrug laut vorsichtigen Schätzungen drei Milliarden US-Dollar. Der mutmassliche Urheber, ein Student aus Manila, wurde verhaftet, aber nie verurteilt. Im Quellcode stand jedenfalls: «i hate go to school suck».
Code Red (2001): Kaum hatte sich die IT-Welt von ILOVEYOU erholt, schlug Code Red zu und verursachte wieder Schäden in Milliardenhöhe. Der Windows-Wurm nutzte eine Sicherheitslücke beim Webserver von Microsoft, um sich während 19 Tagen im Monat zu verbreiten. Von Tag 20 bis 27 startete er Überlastungs-Angriffe auf diverse Websites – darunter das Weisse Haus in Washington. Dann war bis zum Ende des Monats Pause angesagt. Associated Press/AP / Ron Edmonds
Slammer (2003): Auch SQ Hell oder Sapphire genannt, legte der Netzwerk-Wurm im Januar 2003 dank einer Server-Sicherheitslücke weite Teile des Internets für mehrere Stunden lahm. Besonders brisant: Der Schädling drang über eine ungesicherte Leitung in das IT-Sicherheitssystem eines AKWs in Ohio (USA) ein.
«Sobig.F» (2003): Der im Sommer 2003 entdeckte Computerwurm war die «erfolgreichste» Variante der «Sobig»-Schädlingsfamilie. Weltweit wurden in kürzester Zeit zwei Millionen Windows-Systeme über verseuchte E-Mail-Anhänge infiziert. «Sobig.F» war auch ein Trojaner, da er sich auf befallenen Systemen als harmloses Programm tarnte und Kontakt zu Kommando-Rechnern aufnahm. Da die IP-Adressen bekannt waren, wurden sie stillgelegt. AP / LEE JIN-MAN
MyDoom (2004): Der bislang schlimmste Computerwurm wurde am 26. Januar 2004 entdeckt. Die ersten verseuchten Mails mit Wurm im Anhang trafen aus Russland ein. MyDoom verbreitete sich noch rasanter als «Sobig.F». Innerhalb von 24 Stunden waren bereits 300'000 Windows-Computer befallen. Insgesamt wurden weltweit fast zwei Millionen Infektionen registriert. Schaden: laut Schätzungen über 30 Milliarden Dollar! AP/AP / Octav Ganea
WannaCry (2017): Dank des IT-Experten Marcus Hutchis richtete der von Unbekannten programmierte Lösegeld-Trojaner nicht noch mehr Schaden an. Zur Verbreitung nutzte der Computer-Wurm ein Angriffs-Tool (Exploit) für Windows-Systeme, das die Hackergruppe The Shadow Brokers dem US-Geheimdienst gestohlen und im Internet veröffentlicht hatte. Befallen wurden über 230'000 PCs weltweit. Laut Sicherheitsforschern könnte die Lazarus-Gruppe für die Angriffe verantwortlich zeichnen. AP/AP / Frank Augstein